La vulnerabilidad CVE-2024-4451 encontrada en el plugin Colibri Page Builder para WordPress permite a atacantes autenticados con acceso de nivel contribuidor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página comprometida.
La versión 1.0.276 y anteriores del plugin Colibri Page Builder son susceptibles a Cross-Site Scripting almacenada debido a la insuficiente sanitización de entrada y escape de salida en los atributos suministrados por el usuario. Esto abre la puerta para que un atacante autenticado pueda comprometer la seguridad del sitio al inyectar scripts maliciosos utilizando el shortcode colibri_video_player.
Se recomienda a los usuarios de Colibri Page Builder actualizar su plugin a la última versión disponible y mantenerse al día con las actualizaciones de seguridad de WordPress para evitar ser víctimas de este tipo de vulnerabilidades.